De l’importance de sécuriser les données carbone et stratégie climat des entreprises.
Traace est une plateforme logicielle distribuée en SaaS permettant aux entreprises de mesurer leur empreinte carbone et de mettre en place des plans d’action pour la réduire. Si de plus en plus d'entreprises tendent, sous la contrainte réglementaire ou non, à partager leurs démarches RSE et le résultat global de leur Bilan Carbone il n’en reste pas moins que la mesure de l’empreinte carbone se fait généralement à partir de données opérationnelles parfois très sensibles : achats, dépenses d’énergie, déplacements des collaborateurs, processus industriels…
C’est d’autant plus vrai lorsque l’on réalise un bilan carbone suivant les standards méthodologiques carbone les plus rigoureux tel que c’est le cas chez Traace, ces standards nécessitant de rentrer précisément dans le détail de la chaîne de valeur des entreprises : méthodes de productions, fournisseurs et prestataires, investissements, logistiques, etc.
L’établissement d’un Bilan Carbone n’étant que le prérequis nécessaire à un passage à l’action pour réduire ses émissions, les clients de Traace gèrent également sur la plateforme leurs trajectoires de réduction et surtout les plans d’actions de décarbonation associés. Traace permettant de modéliser de manière fine à la fois l’impact carbone et l’impact financier des actions de réduction, cela nécessite le traitement de données business stratégiques et donc critiques pour nos clients.
Il est donc naturel pour les clients de Traace de vouloir s’assurer que les données qu’ils nous confient soient correctement sécurisées.
Traace est conforme aux standards de sécurité SOC 2.
Depuis la création de Traace, nous appliquons à la conception de notre logiciel ESG un certain nombre de grands principes permettant d’assurer la mise en œuvre d’un système sûr et fiable. Mais plus que le produit lui-même, c’est toute l’organisation de l’entreprise qui doit s’aligner pour faire en sorte que notre produit respecte un haut niveau de sécurisation et de qualité opérationnelle.
S’il existe aujourd’hui des réglementations auxquelles se conformer telles que le RGPD (à laquelle Traace est bien entendu conforme) encadrant le traitement des données personnelles et garantissant leur bonne gestion, il reste néanmoins essentiel pour nos clients que la bonne application des meilleurs principes de sécurité par leurs fournisseurs soit reconnue par un organisme indépendant.
Des standards se sont ainsi développés afin d’auditer et d’évaluer les entreprises comme Traace sur leur capacité à respecter les meilleures pratiques en termes de sécurité. Certains de ces standards sont spécialisés sur un secteur, comme le PCI-DSS pour les entreprises gérant des paiements, et d’autres sont plus généralistes.
Ainsi, Traace a commencé par réaliser en novembre 2022 un audit SOC 2 Type 1 afin d’attester de la capacité de l’organisation et de son produit à répondre aux exigences les plus pointues en matière de sécurité.
En juin 2023, nous avons réalisé un nouvel audit, dans une version plus ambitieuse : SOC 2 Type 2. La différence du Type 2 par rapport au Type 1 est que le respect de nos engagements de sécurité et de nos procédures a cette fois-ci été testé pendant plusieurs mois et non à un instant donné. C'est un gage de sécurité encore plus important. Et dans notre cas, aucun manquement au respect de nos procédures n'a été identifé.
De manière générale, un audit SOC 2 peut évaluer des critères regroupés en cinq grandes catégories :
- Sécurité : L’infrastructure technique doit être protégée des risques auxquels elle peut être confrontée.
- Disponibilité : L’infrastructure technique doit rester disponible afin que notre outil reste accessible aux clients.
- Intégrité des traitements : À tout moment, l’information fournie par le système doit être fiable.
- Confidentialité : les informations ne doivent être disponibles qu’au personnel autorisé.
- Données personnelles : les données personnelles doivent être gérées et stockées de manière adaptée.
Dans le cadre de notre audit, l’accent a été mis sur la sécurité.
Comment sont traitées les données dans Traace ?
Que cela veut-il dire en pratique pour les données des clients de Traace ?
Voici quelques exemples :
- Les données de nos clients sont chiffrées au repos et en transit, c’est-à-dire lorsque la donnée circule d’un ordinateur à l’autre.
- Nous avons mis en place des règles strictes sur la gestion des accès à nos outils internes.
- Nos postes de travail sont régulièrement mis à jour, protégés par des solutions antivirus, antimalware, pare-feu et les disques sont chiffrés.
- Nous menons régulièrement des tests d’intrusion et des scans de vulnérabilités sur notre infrastructure technique.
- Tous les employés de Traace sont sensibilisés aux problématiques de sécurité, et des campagnes de simulation de phishing sont régulièrement menées.
- Nous avons mis en place des procédures pour gérer d’éventuels incidents, et nous les testons régulièrement.
- Nous avons une politique stricte de gestion de nos sous-traitants.
Ce ne sont que quelques exemples, mais il est clair que la mise en place d’une plateforme sûre et fiable ne s’improvise pas, demande du temps et de l’investissement de la part de l’ensemble des collaborateurs de Traace.
Cela reste néanmoins essentiel pour garder la confiance de nos clients, répondre par défaut aux niveaux d’attentes des entreprises grands comptes et être en capacité d’accompagner l’ensemble de nos clients sur leurs stratégies climat de la manière la plus précise et ambitieuse qui soit.
Les résultats détaillés de l'audit SOC 2 Type 2 de Traace sont disponibles sur demande par email à : contact@traace.co.